Nouvelle réglementation pour l'enrôlement électronique des clients bancaires en Tunisie

La Banque Centrale de Tunisie (BCT) vient de publier la circulaire n°2025-06 du 28 février 2025, établissant les règles minimales régissant l'enrôlement électronique des clients bancaires. Cette nouvelle réglementation vise à encadrer les procédures d'identification à distance tout en garantissant la sécurité des données et la conformité aux obligations de lutte contre le blanchiment d'argent.

Principes fondamentaux

La circulaire définit l'enrôlement électronique comme "le processus par lequel la banque recourt à un procédé technologique automatisé ou semi-automatisé pour digitaliser tout ou une partie du processus de collecte, de vérification et de conservation des éléments d'identification des clients."

Elle pose trois exigences essentielles :

- L'utilisation d'un procédé technologique respectant des normes minimales

- La mise en place de mesures de vigilance proportionnelles aux profils de risques

- Un niveau de vérification d'identité au moins équivalent à celui impliquant la présence physique

Règles de gouvernance

Les banques souhaitant mettre en œuvre l'enrôlement électronique doivent établir des procédures formalisées et approuvées par leur organe d'administration. Ces procédures doivent inclure :

- Une description détaillée du processus et du procédé technologique

- Une cartographie complète des risques associés

- Des mesures d'atténuation des risques

- Un dispositif de gestion des incidents

Exigences techniques

La circulaire établit plusieurs exigences techniques précises :

- Le recueil du consentement préalable du client pour le traitement de ses données

- Une combinaison de facteurs d'authentification adaptée au niveau de risque

- La vérification de l'authenticité des documents d'identification

- L'utilisation de technologies audiovisuelles pour confirmer la "preuve de vie"

- L'analyse de correspondance entre les données d'identification et les données biométriques

Un point notable concerne le "taux de fausses acceptations" (TFA), qui mesure la probabilité que le système accepte une identité frauduleuse. La mise en production du procédé est conditionnée par sa capacité à éliminer tous les cas de fausses acceptations.

Recours aux tiers

Si une banque souhaite externaliser tout ou partie du processus d'enrôlement électronique, elle doit respecter des conditions strictes et s'assurer que le tiers prestataire répond aux mêmes exigences de sécurité. Le contrat avec le tiers doit inclure des clauses spécifiques concernant la gestion des données, les responsabilités en cas de manquement et l'accès de la BCT aux informations.

La circulaire précise que "le recours aux tiers n'exonère en aucun cas la banque de sa responsabilité finale" dans le processus d'enrôlement et la conformité aux exigences réglementaires.

Contrôle et supervision

Les banques doivent soumettre leur procédé technologique à des tests d'intrusion réalisés par un organisme d'audit homologué par l'Agence Nationale de la Cybersécurité. Elles doivent également conduire un audit du procédé tous les deux ans.

Avant toute mise en œuvre, les établissements doivent transmettre à la BCT un dossier complet présentant leur processus, les risques identifiés et les mesures d'atténuation prévues.

Entrée en vigueur

La circulaire entre en vigueur immédiatement à compter de sa publication. Les banques déjà autorisées à utiliser l'enrôlement électronique disposent d'un délai de six mois pour se conformer aux nouvelles exigences.

Téléchargez la circulaire complète

Pour accéder à l'intégralité n°2025-06 du 28 février 2025 relative aux règles minimales régissant l'enrôlement électronique des clients, téléchargez directement le document via le lien suivant : Circulaire BCT n°2025-06